"Границы сетевой безопасности"

Гари Ньюболд (Gary Newbold), региональный директор компании Extreme Network по Великобритании и Ирландии

Эффективная сетевая безопасность имеет много общего с обыкновенным репчатым луком. Его луковица имеет не одну, а множество «одежек», символизирующих собой периметр и защищающих сердцевину. Кто не помнит, как, очищая луковицу слой за слоем, проливал слезы? Так и в защите локальной сети каждый новый уровень должен заставлять киберпреступника «плакать», принуждая его отказаться от получения незаконного доступа. Вспомните, как верхние чешуйки лука защищают собой нижние, и вы поймете, как следует создавать защитные слои вокруг локальной сети и как следует определять политику сетевой безопасности в зависимости от того, от чего именно защищает тот или иной слой. Только определив это, можно начинать конструировать решение.

Сложилось так, что забота о безопасности всегда возлагалась на специализированные приложения: брандмауэры, системы IDS/IPS (системы обнаружения/предотвращения сетевых атак), антивирусное программное обеспечение и т. п. Поскольку большая часть атак приходит к нам из интернета, обычно корпорации в первую очередь стремятся укрепить сетевые устройства на границе с глобальной сетью.

Однако времена меняются, и компании больше не могут полагаться только на сетевые экраны, чтобы защитить себя от «плохого» интернета. Ведь угрозы, не замеченные самыми сложными брандмауэрами, могут появиться и во внутренней зоне, в стороне от действия антивирусной защиты, сосредоточенной по границам с глобальной сетью. Часто на практике IT-администратор узнает о появлении новых угроз из интернета после того, как они уже появились в сети предприятия.

Подобная стратегия защиты не только неэффективна против распространения вирусов-«червей» в сетях организаций, но и, по сути, оставляет локальную сеть компании незащищенной от доступа киберпреступников, подобно тому, как открытая дверь дома не защищает от квартирных воров. Ежедневно в сети интернет регистрируется около 3000 новых угроз, причем объектом вмешательства часто оказывается совершенно незащищенная внутренняя зона корпоративных локальных сетей. Дело в том, что, получив физический доступ к компьютеру внутри здания, вы оказываетесь внутри сетевого экрана и можете без труда присоединиться к корпоративной локальной сети. Это можно сделать через запасной сетевой разъем или даже через разъем принтера.

Сетевая безопасность — область слишком важная, чтобы оставлять ее исключительно на откуп защиты сетевого периметра. Локальная сеть сама должна играть активную роль в защите сетевых ресурсов от атак и неправомерного доступа.

Категоризация угроз

Существует огромное множество видов угроз локальным сетям. Однако можно выделить три наиболее распространенных типа атак: атака на сетевую инфраструктуру, неавторизованный доступ к сети и вирусы, снижающие производительность работы оборудования и создающие угрозу потери данных.

Атака на сетевую инфраструктуру может быть направлена на сетевые коммутаторы, вывод из строя которых может обернуться для сети практически неограниченными разрушениями в зависимости от способа воздействия. Несанкционированный доступ к данным, как со стороны сотрудников, так и третьих лиц, может обернуться серьезными рисками. В наши дни угроза безопасности такого рода обретает еще большую важность, о чем говорит принятие новых нормативных документов в информационной сфере. Например, в США принят закон HIPAA (Health Insurance Portability and Accountability Act, или Закон об учете и резервировании данных по медицинской страховке), по которому врачам, медсестрам и вообще медицинскому персоналу запрещен несанкционированный доступ к медицинским картам пациентов.

Существует множество возможностей для проникновения вирусов через защиту на границе с глобальной сетью. Здесь и повышенный риск от мобильных рабочих мест, личных учетных записей электронной почты, а также гостевых учетных записей, неизбежно присутствующих в локальной сети предприятия. Всякий раз, когда посетителю разрешают войти в локальную сеть, существует риск того, что через него в систему проникнет вирус.

Проводная или беспроводная сеть?

Сетевая безопасность всегда балансировала на грани между обеспечением безопасности корпоративных ресурсов и поддержанием необходимых функциональных возможностей. А в беспроводных сетях к этому уравнению добавляется еще одно неизвестное — повышенный риск нарушения правил безопасности. Общеизвестно, что беспроводные сети всегда были излюбленной целью для хакеров. Хотя большинство кибервзломщиков довольствуются самим фактом получения доступа, есть немногие, цели которых более разрушительны. Они стремятся нарушать работу сетевых провайдеров, уничтожать корпоративные данные или, что хуже, воровать корпоративные секреты. Стремительное увеличение количества ноутбуков и других портативных устройств с возможностями работы в среде Ethernet, ведет к тому, что посетитель предприятия подвержен соблазну подключиться к корпоративной сети и попытаться исследовать ее ресурсы.

Проводная и беспроводная сети по процедуре доступа во многом схожи. Но с точки зрения сетевой безопасности есть коренное различие. Предполагается, что проводная сеть гораздо менее уязвима, в отличие от беспроводной, где информация считается практически незащищенной. Поскольку с точки зрения пользователя данные в обоих типах сетей часто одни и те же, защита проводной сети должна быть организована с учетом требований по защите более уязвимой беспроводной.

Для того, чтобы беспроводной доступ стал приемлемым для современных корпоративных сетей, необходимо выполнить ряд требований, которым лучше всего отвечают комбинированные проводные-беспроводные сети с использованием старой кабельной сети. Сетевая безопасность должна присутствовать на уровне существующей сетевой инфраструктуры, обеспечивая достаточно гибкие решения в условиях имеющихся ресурсов. Чтобы разработать достаточно надежную, но вместе с тем гибкую сеть, необходимо найти баланс между практическими аспектами использования и «идеалом» сетевой безопасности. Как только необходимый набор параметров определен, он должен быть зафиксирован в сетевой политике безопасности, которая в свою очередь устанавливает определенный уровень требований к поставщику сетевых решений.

Ограничения политики безопасности

Проведя широкоформатное исследование потенциальных угроз, компания может решить проблемы с сетевой безопасностью, просто немного ужесточив политику безопасности  для пользователей. Занимаясь ликвидацией сетевых уязвимостей и восстанавливая функционирование сетей после вторжений, IT-администратор чаще всего может указать источник угрозы и нейтрализовать его, прежде чем будет нанесен больший урон.

Ключом к сетевой безопасности является ограничение работы портов средствами сетевой политики для пользователей, а также их безусловная аутентификация и авторизация. Одним словом, защита сети от неавторизованных пользователей и ограничение в правах для авторизованных. Важно предоставлять пользователям только те сетевые ресурсы, которые им необходимы по работе (здесь можно использовать интеллектуальные системы допуска пользователей в сеть). Протокол аутентификации, используемый в процедуре доступа в сеть, основан на электронной цифровой подписи (ЭЦП). Эта технология реализуется вне зависимости от того, проводная сеть или беспроводная. Необходимость поддержки аутентификации в беспроводных сетях связана с тем фактом, что неавторизованный пользователь может попытаться проникнуть в сеть из самых разных точек, например, с автостоянки или из кафе.

Открытые порты протокола Ethernet и сетевого доступа создают уязвимости в системе безопасности, так что без заложенного по умолчанию требования вводить логин и пароль, чтобы доказать правомерность своего доступа в сеть, не обойтись. Пользователи, пытающиеся войти в сеть, должны сначала войти в систему и пройти процедуру идентификации. Если все правильно, они получают доступ в Интернет, а также к определенным сетевым службам локальной сети. Эта построенная на процедуре идентификации технология и является тем интеллектуальным средством, которое позволяет IT-менеджерам поддерживать строгий контроль за пользовательскими правами доступа. Если пользователь пытается получить доступ к запрещенному серверу, его порт блокируется, за счет чего исключается сама возможность проникновения в сеть.

Такой механизм делает интеллектуальную систему сетевого доступа очень сильным дополнением при любой структуре сетевой безопасности.

В настоящее время все необходимые решения для обеспечения сетевой безопасности представлены на рынке. Единственным вопросом остается уровень реализации решений. Сетевая безопасность слишком важна, чтобы оставлять ее на откуп сторонних компаний. В защите компьютерной сети активную роль должна играть инфраструктура самой локальной сети. Однако важно понять, что безопасность локальной сети не придет к нам от простого переориентирования технологии обеспечения безопасности, направленной на защиту от интернет-угроз. Такая технология просто не в состоянии защитить локальную сеть. Закономерный рост корпоративных сетей все выше поднимает планку требований к решениям в сфере безопасности, и эти решения будут реализовываться на базе все расширяющихся корпоративных сетей. Поэтому, распространяя правила безопасности и устанавливая пользовательскую политику, мы можем отслеживать весь информационный обмен и предотвращать все попытки внутренних атак на сетевую инфраструктуру, тогда как специализированные системы обнаружения и предотвращения сетевых атак будут защищать сеть от постоянно растущего списка внешних угроз.

Средства защиты локальных сетей от сетевых атак существуют. Для создания надежной системы необходимы знания, практика и правильно подобранные инструменты.